唐 林，蘭 昆

(中國電子科技網(wǎng)絡(luò)信息安全有限公司，四川成都610041)

智能儀表的網(wǎng)絡(luò)安全威脅及防護框架研究

唐 林，蘭 昆

(中國電子科技網(wǎng)絡(luò)信息安全有限公司，四川成都610041)

智能儀表在工業(yè)自動化生產(chǎn)的顯示、測量、調(diào)節(jié)與控制等環(huán)節(jié)發(fā)揮了重要作用，在工業(yè)自動化領(lǐng)域應(yīng)用非常廣泛。智能儀表的網(wǎng)絡(luò)安全問題伴隨其應(yīng)用不斷顯現(xiàn)，已經(jīng)引起工業(yè)界的高度關(guān)注。先分析智能儀表面臨的網(wǎng)絡(luò)安全威脅和脆弱性，研究智能儀表網(wǎng)絡(luò)安全防護的技術(shù)體制，提出一種智能儀表網(wǎng)絡(luò)安全防護框架，并分析該框架的一種實際應(yīng)用設(shè)計。

智能儀表；網(wǎng)絡(luò)安全；脆弱性；信息安全防護框架

0 引言

智能儀表是傳感器技術(shù)、儀器測控技術(shù)、計算機技術(shù)、網(wǎng)絡(luò)通信技術(shù)與微電子技術(shù)深度融合的產(chǎn)物，智能儀表將計算機技術(shù)與測試技術(shù)進行結(jié)合，儀器內(nèi)部帶有處理能力很強的智能軟件[5]。隨著網(wǎng)絡(luò)化的發(fā)展，工業(yè)自動化領(lǐng)域?qū)邆渚W(wǎng)絡(luò)功能的儀器儀表的需求越來越大，市場上涌現(xiàn)出許多支持現(xiàn)場總線協(xié)議的儀表，比如 HART、MODBUS、PROFIBUS、FF、CAN 等總線儀表。 智能儀表的廣泛應(yīng)用，給工業(yè)用戶帶來儀表操作及管理方便的同時，也造就了新的儀表安全問題，大量的敏感信息未經(jīng)保護的在網(wǎng)絡(luò)的各個裝置之間傳送，黑客們完全可以利用通信協(xié)議上的漏洞攻擊儀表裝置、獲取或者篡改儀表信息。美國工業(yè)控制系統(tǒng)網(wǎng)絡(luò)緊急應(yīng)變小組(ICS-CERT)于2015年1月、2月、8月和9月分別公布了 Emerson HART儀表、CodeWrights HART 儀表、Endress＋Hauser HART儀表、Endress＋Hauser HART管理軟件 Fieldcare和 Code-Wrights HART通訊服務(wù)軟件存在的緩沖區(qū)溢出和惡意代碼注入等嚴重漏洞，引起全球工業(yè)界的高度關(guān)注。如何確保智能儀表的網(wǎng)絡(luò)信息安全，事關(guān)自動化工業(yè)企業(yè)的正常穩(wěn)定運行，以及工業(yè)企業(yè)的降本增效問題。

1 能儀表技術(shù)基礎(chǔ)

1983年美國霍尼韋爾公司研制出智能壓力變送器，標志著儀器儀表制造從傳統(tǒng)的模擬儀表向數(shù)字化智能儀表時代轉(zhuǎn)變。智能儀表的特點主要是:一方面具備了數(shù)字通信接口能力，這是由于生產(chǎn)現(xiàn)場為提高控制質(zhì)量、控制可靠性和安全性，而大量部署傳感器和執(zhí)行器的要求；另一方面，智能儀表具備自診斷、確認信息處理、信息管理等功能，使智能儀表在安裝、配置、參數(shù)設(shè)定、正常使用、維護等階段都能向用戶提供額外的服務(wù)，如在線調(diào)試、自動故障定位等[6]。智能儀表的典型結(jié)構(gòu)如下圖1所示:

智能儀表主要分為三大功能模塊:模擬量輸入＼輸出、人-機接口、通信接口[5]。智能儀表的硬件部分主要包括主機電路、模擬量輸入＼輸出通道、人機接口電路、通信接口電路。智能儀表的軟件一般分為監(jiān)控程序模塊和接口管理程序模塊兩部分。監(jiān)控程序是面向儀器面板鍵盤和顯示器的管理程序；接口管理程序是面向通信接口的管理程序，接收并分析來自通信接口總線的遠程控制命令。

圖1 智能儀表的典型結(jié)構(gòu)

智能儀表的主要用途是檢出、測量、觀察、計量各種物理量、物質(zhì)成分、物性參數(shù)等，并具有自動控制、報警、信息傳遞和數(shù)據(jù)處理等功能[3]。智能儀表的應(yīng)用領(lǐng)域非常廣泛，覆蓋了工業(yè)、農(nóng)業(yè)、交通、科技、環(huán)保、軍工、國防、醫(yī)療健康、依法治國等各方面，在國民經(jīng)濟建設(shè)各行各業(yè)的運行過程中承擔(dān)著信息傳感、數(shù)據(jù)審計、輔助決策等任務(wù)。智能儀表數(shù)據(jù)的精確、可靠、及時、可信，對于工農(nóng)業(yè)生產(chǎn)、國防建設(shè)、經(jīng)濟發(fā)展、自然災(zāi)害防治及環(huán)境保護等具有重要意義[6]。

2 智能儀表的網(wǎng)絡(luò)安全威脅分析

智能儀表使用的通信協(xié)議(如HART、MODBUS協(xié)議等)[2]在設(shè)計之初沒有專門的協(xié)議報文完整性、機密性、抗抵賴性方面的保護機制，造成報文傳輸過程中存在被監(jiān)聽、篡改、偽造及重放等安全威脅，其在工業(yè)生產(chǎn)控制現(xiàn)場存在的網(wǎng)絡(luò)安全風(fēng)險主要表現(xiàn)為:

1)惡意攻擊者可以借助通用的便攜式手操器或者儀表管理通信軟件的組態(tài)、校驗管理、調(diào)試等功能，通過調(diào)試接口等，對智能儀表的固件或操作系統(tǒng)進行竄改，甚至注入惡意代碼，導(dǎo)致智能儀表工作狀態(tài)不正?；虿豢捎?；

2)未授權(quán)的外部設(shè)備或者通信組態(tài)軟件接入智能儀表時，可以實現(xiàn)對智能儀表量程的惡意篡改、零點漂移、停止工作等操作，從而導(dǎo)致智能儀表測量數(shù)值偏離真實值；

3)非法攻擊者可以接入智能儀表通信網(wǎng)絡(luò)，或者旁路正常工作的儀表，向控制中心發(fā)送虛假的數(shù)據(jù)，生產(chǎn)調(diào)度與控制中心一旦接收到錯誤的工藝過程數(shù)據(jù)、測量數(shù)據(jù)，會以此為依據(jù)作出錯誤的運算判斷，發(fā)出錯誤的控制命令，甚至啟動應(yīng)急操作，從而導(dǎo)致生產(chǎn)線控制過程的異常反應(yīng)，造成難以預(yù)期的工業(yè)事故。

正是由于智能儀表存在上述漏洞，使得原本相對封閉、專用的工業(yè)自動化測量領(lǐng)域，容易成為網(wǎng)絡(luò)攻擊的新目標，對生產(chǎn)控制造成更深層次的破壞。

3 智能儀表網(wǎng)絡(luò)安全防護框架

3.1 智能儀表網(wǎng)絡(luò)安全防護技術(shù)現(xiàn)狀

智能儀表的漏洞及相關(guān)的信息安全問題是近幾年來才出現(xiàn)的新領(lǐng)域，相關(guān)的研究報道并不多見，而有關(guān)智能儀表的安全，目前的研究熱點主要集中于儀表的功能安全[9]，網(wǎng)絡(luò)安全方面的技術(shù)發(fā)展情況不明顯，僅在計量類儀表之一的智能電表網(wǎng)絡(luò)安全方面有些應(yīng)用成果。但是，以網(wǎng)絡(luò)化、數(shù)字化、智能化為基本特征的智能儀表應(yīng)用所要求的網(wǎng)絡(luò)安全防護技術(shù)，與傳統(tǒng)IT網(wǎng)絡(luò)信息安全不盡相同，主要體現(xiàn)在以下幾方面:

1)多數(shù)智能儀表的工作過程會處于振動、溫度、濕度、氣壓、噪聲、腐蝕、粉塵等多環(huán)境參數(shù)(甚至有極限環(huán)境)共同作用的條件[1]，傳統(tǒng)IT網(wǎng)絡(luò)信息安全防護的系統(tǒng)和設(shè)備無法正常工作；

2)智能儀表的通信協(xié)議通常為現(xiàn)場總線協(xié)議，現(xiàn)場總線協(xié)議種類繁多，差異明顯，各種現(xiàn)場總線協(xié)議在工業(yè)測量儀表領(lǐng)域都有一定程度的應(yīng)用，需要針對每種協(xié)議分析其存在的漏洞、脆弱性[7]，以及相應(yīng)的網(wǎng)絡(luò)安全防護措施；

3)大型工廠的生產(chǎn)控制網(wǎng)絡(luò)通常會存在成千上萬個智能儀表的使用場景，智能儀表存在短報文應(yīng)用，猝發(fā)式通信與高實時性要求通信并存，各個儀表之間業(yè)務(wù)關(guān)聯(lián)性較弱等網(wǎng)絡(luò)應(yīng)用特點，智能儀表的網(wǎng)絡(luò)安全解決方案需要同時考慮低成本以及對工業(yè)測量業(yè)務(wù)的微影響問題[5]；

4)目前缺乏智能儀表網(wǎng)絡(luò)安全方面的國家標準及國際標準，相關(guān)技術(shù)、產(chǎn)品缺乏依據(jù)。

因此，需要創(chuàng)新開展?jié)M足智能儀表應(yīng)用要求的網(wǎng)絡(luò)安全技術(shù)、產(chǎn)品及解決方案。

3.2 網(wǎng)絡(luò)安全防護框架結(jié)構(gòu)設(shè)計

針對上述章節(jié)分析的智能儀表面臨的網(wǎng)絡(luò)安全威脅，以及現(xiàn)有信息安全防護措施的不足，結(jié)合智能儀表的結(jié)構(gòu)特點，使用環(huán)境要求，提出一種智能儀表網(wǎng)絡(luò)安全防護框架[8]，智能儀表網(wǎng)絡(luò)安全防護框架系統(tǒng)結(jié)構(gòu)如下圖2所示:

圖2 智能儀表網(wǎng)絡(luò)安全防護框架的系統(tǒng)結(jié)構(gòu)

該框架基于密碼技術(shù)，采用模塊化設(shè)計，通過特殊設(shè)計的智能儀表安全加固模塊，對智能儀表通信雙方設(shè)備進行身份識別、協(xié)議解析、異常報文過濾、報文加密解密、簽名驗簽等處理。主要提供以下兩個方向的保護能力:

1)對具有外部數(shù)據(jù)通信能力的智能儀表，提供上位機工程師站與智能儀表的數(shù)據(jù)機密性、完整性、抗抵賴性、可用性、訪問控制保護；

2)對智能儀表的內(nèi)部數(shù)據(jù)提供機密性、完整性、可用性、訪問控制保護。

智能儀表網(wǎng)絡(luò)系統(tǒng)部署該安全防護框架后，能識別、過濾非法的外部設(shè)備(如第三方廠家手操器、非正常用戶使用的二次儀表)，或者HART通信軟件向智能儀表發(fā)送的修改儀表內(nèi)部重要參數(shù)的命令。并且，只有通過授權(quán)的協(xié)議報文才能下傳到智能儀表中，未經(jīng)授權(quán)的協(xié)議報文由安全防護框架自動過濾，只能讀取變送器主參數(shù)而不能修改，這樣使得儀表內(nèi)部重要參數(shù)得到有效的保護，不受偶然的或者惡意的原因而遭到破壞、泄露。

另一方面，在上位機工程師站與智能儀表通信的應(yīng)用場景中，通過在上位機工程師站端，以及智能儀表端同時部署智能儀表網(wǎng)絡(luò)安全防護框架，將保護通信雙方遭受中間人攻擊，進而防止上位機工程師站接受到虛假的現(xiàn)場測量參數(shù)信息欺騙。

智能儀表網(wǎng)絡(luò)安全防護框架應(yīng)至少包括通信模塊、安全算法模塊、協(xié)議處理模塊、邏輯控制模塊等，通信模塊負責(zé)智能儀表內(nèi)部與外部數(shù)據(jù)的收發(fā)，安全算法模塊是對協(xié)議報文進行機密性、完整性、可用性、抗抵賴性和訪問控制保護的算法[10]，協(xié)議處理模塊識別智能儀表網(wǎng)絡(luò)所使用的協(xié)議類型，邏輯控制模塊依據(jù)協(xié)議識別的結(jié)果和參數(shù)配置情況調(diào)用相應(yīng)的處理模塊。

4 智能儀表網(wǎng)絡(luò)安全防護框架的應(yīng)用

4.1 應(yīng)用場景的網(wǎng)絡(luò)結(jié)構(gòu)

在石化行業(yè)、鋼鐵行業(yè)等工業(yè)控制系統(tǒng)的數(shù)據(jù)采集層一般會部署了大量的進行數(shù)據(jù)采集的壓力變送器、溫度變送器、電磁流量計、液位變送器等智能儀表，目前這些智能儀表均具備HART或Profibus PA通信功能[4]。該場景中，數(shù)據(jù)采集層的智能儀表需要與上位機端的儀表管理軟件進行通信，在該環(huán)節(jié)配置智能儀表網(wǎng)絡(luò)安全防護框架可以保護通信雙方遭受中間人攻擊，防止上位機被虛假的現(xiàn)場測量參數(shù)信息欺騙，誘發(fā)進一步的錯誤控制動作，如圖3所示:

圖3 智能儀表網(wǎng)絡(luò)安全防護框架的系統(tǒng)結(jié)構(gòu)

該應(yīng)用場景主要對兩個環(huán)節(jié)進行網(wǎng)絡(luò)安全防護:1)智能儀表與手操器之間的HART通信過程防護；2)智能儀表與上位機系統(tǒng)之間的Profibus PA通信防護。

4.2 智能儀表網(wǎng)絡(luò)安全防護框架初步設(shè)計

在圖3所示的網(wǎng)絡(luò)環(huán)境中，智能儀表網(wǎng)絡(luò)安全防護框架的設(shè)備形態(tài)分成兩種:1)完成智能儀表與上位機系統(tǒng)之間的現(xiàn)場總線級通信安全防護功能，主要以外掛式專用防護設(shè)備為主，專用防護設(shè)備位于HART＼PROFIBUS PA通信模塊與智能儀表之間[2]，提供信息安全服務(wù)。在廠商允許的條件下，此處的智能儀表網(wǎng)絡(luò)安全防護框架也可以是軟件形態(tài)；2)保護智能儀表與手持器等的通信安全，形態(tài)主要以嵌入式信息安全芯片為主，芯片位于智能儀表內(nèi)部，與智能儀表一體化設(shè)計，芯片具有完整性和簽名、驗簽功能，最終形成帶信息安全防護功能的新型智能儀表。同時，手持器一端也要安裝或集成安全防護功能的芯片或外設(shè)，與智能儀表中的信息安全芯片配對使用。

5 結(jié)語

智能儀表在工業(yè)領(lǐng)域兩化融合的趨勢下得到廣泛使用，但目前專門針對智能儀表的網(wǎng)絡(luò)安全威脅問題和信息安全防護技術(shù)方面的研究相對較少，在智能制造時代深入研究智能儀表的網(wǎng)絡(luò)安全防護技術(shù)意義突出。本文先討論智能儀表的典型結(jié)構(gòu)和面臨的網(wǎng)絡(luò)安全威脅，指出需要專門研究針對智能儀表的網(wǎng)絡(luò)安全防護框架，然后提出一種智能儀表網(wǎng)絡(luò)安全防護框架，并詳細分析該框架在智能儀表與上位機、手持器通信環(huán)節(jié)的實際應(yīng)用設(shè)計。

[1]潘世永，鄭萍，李英.工業(yè)自動化儀表的智能化[J].中國儀器儀表，2010(8):106.

[2]馬小永，汪寶兵.HART協(xié)議簡介及 HART智能儀表的組成原理[J].儀表技術(shù)與傳感器，2002，(4):45-48.

[3]裘玉瑞.現(xiàn)場總線智能儀表功能模塊(上)[J].世界儀表與自動化，2001(8):30—32.

[4]張建華，于海斌，戰(zhàn)明，馬 鋼.FF現(xiàn)場總線智能儀表在焦爐控制系統(tǒng)中的應(yīng)用[J].儀器儀表學(xué)報，2006，(6):899-901.

[5]朱一綸，吳彪.智能儀器基礎(chǔ)[M].北京:電子工業(yè)出版社，2007:32-103.

[6]凌志浩.智能儀表原理與設(shè)計技術(shù)[M].上海:華東理工大學(xué)出版社，2005:48-113.

[7]饒志宏，蘭昆，蒲石.工業(yè)SCADA系統(tǒng)信息安全技術(shù)[M].北京:國防工業(yè)出版社，2014:1-67.

[8]蘭昆，饒志宏，唐林.工業(yè)SCADA系統(tǒng)網(wǎng)絡(luò)的安全服務(wù)框架研究[J].信息安全與通信保密，2010(03):47-49.

[9]IEC61511，F(xiàn)unctional safety Safety instrumented systems for the process industry sector[Z].2003，(1):55-85.

[10]斯托林斯.密碼編碼學(xué)與網(wǎng)絡(luò)安全:原理與實踐[M].北京:電子工業(yè)出版社.2011:156-213.

Network Security Threats and Protection Frame of Intelligent Instruments

TANG Lin，LAN Kun
(China Electronics Technology Cyber Security Co.，Ltd.，Chengdu Sichuan 610041，China)

Intelligent instruments plays an important role in display，measurement，adjustment and control of industrial automation and production，and thus is also widely applied in this field.However，network security problems of intelligent instruments arise unceasingly along with its applications，and attract much highly attention of the industrial circle.Firstly，network threats and vulnerabilities faced by intelligent instruments are analyzed，then the technical systems of network security protection studied，and finally，a cyber security protection frame of intelligent instrument proposed，a practical application of this security protection frame in a actual industrial environment also discussed.

intelligent instrument； network security； vulnerability； infosec protection frame

TP23 [文獻標志碼]A [文章編號]1009-8054(2016)04-0092-03

2016-01-22